Nariadenie GDPR podstatne zmenilo spôsob, akým podniky spracúvajú osobné údaje. Pravidlá, ktoré sa týkajú ochrany osobných údajov sa v uplynulých mesiacoch zmenili a priniesli požiadavku určiť zodpovednú osobu (DPO). Tá je zodpovedná za správne zaobchádzanie s osobnými údajmi. Prečo je táto funkcia tak dôležitá a kto ju môže vykonávať?
Mnohí podnikatelia usudzujú, že ich spoločnosť je príliš malá, aby mohla byť ovplyvnená GDPR, ale v skutočnosti to tak nie je. Všetky podniky musia preukázať, že sú kompatibilné – či už sú to jednočlenné firmy alebo majú stovky zamestnancov. Prvý návrh GDPR vyžadoval, aby spoločnosť najala DPO len vtedy, ak zamestnáva najmenej 250 zamestnancov, ale teraz sa to zmenilo a vzťahuje sa to aj na menšie podniky, ktoré spracovávajú veľké množstvo údajov. Prijímanie úradníka pre ochranu údajov ukazuje, že sa firma zaviazala dodržiavať zákon a zaviedla opatrenia na zmiernenie akýchkoľvek možných chýb.
Zo zákona majú povinnosť menovať zodpovednú osobu:
Zodpovedná osoba (DPO) by mala byť univerzálny odborník, ktorý vie správne skombinovať právne znalosti, technickú oblasť IT a znalosť prostredia a procesov v danej firme. DPO by mal byť rešpektovaný vrcholným vedením spoločnosti.
V rámci firmy DPO dohliada na to, aby všetko procesy, pri ktorých sa pracuje s osobnými údajmi, boli vždy v súlade so zákonom. Samozrejme sa od neho vyžadujú aj dobré komunikačné schopnosti, nakoľko jeho pôsobnosť je naprieč celou firmou. DPO je zároveň aj kontaktná osoba pre dozorný orgán, ktorým je Úrad na ochranu osobných údajov. Menovaním DPO sa ešte nič nekončí. Firmy neustále sledujú dodržiavanie GDPR ako celok a zodpovedná osoba funguje skôr ako mediátor.
Aj keď zodpovedná osoba pre ochranu údajov bude úzko spolupracovať s informačnými technológiami, úloha je v podstate administratívna. DPO potrebuje pochopiť firemnú kultúru a hľadanie dokonalého kandidáta bude často organickým procesom, pri ktorom stretnutie najlepších talentov v rámci organizácie odhalí, že ideálna voľba je bližšia než sa očakávalo.
To znamená, že v niektorých prípadoch je vhodné ponechať vo funkcii doterajšiu zodpovednú osobu. Funkciu zodpovednej osoby môže vykonávať vlastný zamestnanec, alebo externista a to formou zmluvnej dodávky služieb. DPO musí rozumieť záležitostiam, ktoré sa týkajú ochrany osobných údajov. Pri vlastných zamestnancov je dôležité zaistiť, aby pre výkon tejto funkcie mali dostatočne garantovanú nezávislosť od spoločnosti a aby u nich nevznikal prípadný konflikt záujmov.
V každom prípade by mala zodpovedná osoba byť:
Jednotlivé úlohy zodpovednej osoby vo firmách:
Vymenovanie zodpovednej osoby je jednou z noviniek, ktoré prinieslo GDPR. Poverenie vhodnej osoby do tejto funkcie môže ušetriť firme nemalé peniaze pri možných porušeniach. Zatiaľ čo zodpovednej osobe podľa GDPR žiadne sankcie nehrozia, prevádzkovateľov strašia pokuty až v desiatkach miliónov EUR.